ٱٱلجنرٱل صدٱٱم ٱلشرعبيے
السٌّمعَة : 47 تاريخ التسجيل : 19/11/2012 العمر : 34 الموقع : https://m.facebook.com/profile.php?id=465134066889659
| موضوع: الدرس الثالث جزء الثاني: استغلال ثغرة xss السبت مايو 03, 2014 3:38 pm | |
| بسم الله الرحمن الرحيم [/COLOR][/SIZE] الكود المهم في ثغرات xss - الكود:
-
alert(**************)alert("XSS") هذا كود سكربت خبيث يأتي بمعلومات الكوكيز تجده دائما ً في ثغرات هذا السكربت و ظيفته هي سرقة الكوكيز و هذا الكوكيز يحتوي على اليوزر نايم و الباسوورد المشفرmd5 مثلا ناخذ هذا الموقع https://www.calacademy.org وريح يكون استغلال مثلا بشكل هذا https://www.calacademy.org/search.php?q= الكود هذا نحطو في اخير بعد العلامة (=) نحط هذا الكود وانت يمكن تغير ما بينا قوسين الملف المصاب alert(document.cookie)alert("XSS") المهم يصبح هيك https://www.calacademy.org/search.php?q=%3Cscript%3Ealert%28document.cookie%29%3C/script%3E%3Cscript%3Ealert%28%22XSS%22%29%3C/script%3E هناك العديد من الطرق , وجميعها تعتبر من الطرق البرمجية ( اي حقن اكواد برمجية ) , لذلك كل ما زادت خلفية المخترق في البرمجة كل ما تمكن من التعامل مع هذه الثغرات باحترافية اكثر . 1 – تلغيم الصفحة . وهنا سيتم حقن اكواد HTML لاضافة صفحة خفية ملغومة في داخل الموقع ( الصفحة ) المصاب - الكود:
-
عندها سيتم فتح هذا الموقع بطريقة خفية , وسيتم اختراق كل من دخل للصفحة التي تم حقن الكود فيها . نسخه من شل G.H.T-XSS -Shell
G.H.T Xss طھط*ظ…ظٹظ„ â—ڈ ظ…ط±ظƒط² طھط*ظ…ظٹظ„ ط´ط¨ظƒط© ط§ظ„طµط§ط¹ظ‚ط© ط§ظ„ط¹ط±ط¨ظٹط© عدلو علية قبل رفع
خطورتها : 1- سحب الكوكيز 2- تنفيذ اوامر Java script 3- التلاعب بالضحية 4- عمل DDos Attack
. ======================== الاحتياجات : 1- G.H.T Xss Shell 2- asp استضافة تدعم https://hosting.parking.ru/signup.aspx 3- برنامج ftp 4- موقع للتلغيم | |
|